Des conneries qui sonnent mieux sont toujours des conneries hallucinées, déclare le créateur du projet Curl
Une patate chaude : Les services d’IA générative peuvent être utilisés pour générer des extraits de texte générique, des images étranges ou même des scripts de code dans divers langages de programmation. Mais lorsque les LLM sont utilisés pour falsifier de véritables rapports de bogues, le résultat peut être largement préjudiciable au développement d’un projet.
Daniel Stenberg, l’auteur original et développeur principal du logiciel curl, a récemment écrit sur les effets problématiques des LLM et des modèles d’IA sur le projet. Le codeur suédois a noté que l’équipe dispose d’un programme de bug bounty offrant de l’argent réel comme récompense aux pirates informatiques qui découvrent des problèmes de sécurité, mais les rapports superficiels créés via les services d’IA deviennent un réel problème.
Le bug bounty de Curl a jusqu’à présent permis de verser 70 000 $ de récompenses, a déclaré Stenberg. Le programmeur a reçu 415 rapports de vulnérabilité, dont 77 étaient « informatifs » et 64 ont finalement été confirmés comme des problèmes de sécurité. Un nombre important de problèmes signalés (66 %) n’étaient ni un problème de sécurité ni un bug normal.
Les modèles d’IA générative sont de plus en plus utilisés (ou proposés) comme moyen d’automatiser des tâches de programmation complexes, mais les LLM sont bien connus pour leur capacité exceptionnelle à « halluciner » et à fournir des résultats absurdes tout en semblant absolument confiants quant à leur résultat. Selon les propres mots de Stenberg, les rapports basés sur l’IA sont plus beaux et semblent avoir un sens, mais « de meilleures conneries » restent de la connerie.
Selon Stenberg, plus les conneries sont bonnes, plus les programmeurs doivent consacrer du temps et de l’énergie au rapport avant de le clôturer. Les conneries générées par l’IA n’aident pas du tout le projet, car elles enlèvent du temps et de l’énergie aux développeurs pour quelque chose de productif. L’équipe curl doit enquêter correctement sur chaque rapport, tandis que les modèles d’IA peuvent réduire de façon exponentielle le temps nécessaire pour rédiger un rapport sur un bug qui pourrait en fin de compte n’être que du néant.
Stenberg a cité deux faux rapports probablement créés par l’IA. Le premier rapport prétendait décrire une véritable vulnérabilité de sécurité (CVE-2023-38545) avant même qu’elle ne soit divulguée, mais il empestait les « hallucinations typiques du style IA ». Les faits et les détails d’anciens problèmes de sécurité ont été mélangés et comparés pour créer quelque chose de nouveau qui n’a « aucun lien » avec la réalité, a déclaré Stenberg.
Un autre rapport récemment soumis sur HackerOne décrivait une faille potentielle de débordement de tampon dans WebSocket Handling. Stenberg a essayé de poser quelques questions sur le rapport, mais il a finalement conclu que la faille n’était pas réelle et qu’il parlait probablement à un modèle d’IA plutôt qu’à un véritable être humain.
Le programmeur a déclaré que l’IA peut faire « beaucoup de bonnes choses », mais qu’elle peut aussi être exploitée pour de mauvaises choses. Les modèles LLM pourraient théoriquement être formés pour signaler les problèmes de sécurité de manière productive, mais nous devons encore en trouver de « bons exemples ». À mesure que les rapports générés par l’IA deviendront plus courants au fil du temps, a déclaré Stenberg, l’équipe devra apprendre à mieux déclencher les signaux « générés par l’IA » et à rejeter rapidement ces fausses soumissions.
Jeu de briques
Snake
Pacman
Bubble